溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

初識Dsploit

發(fā)布時間:2020-07-16 14:43:30 來源:網(wǎng)絡 閱讀:1496 作者:bazhinv 欄目:移動開發(fā)

     我第一次看到Dsploit這個工具的時候還是在51上面,當我百度了它之后我才知道這個工具在2013年就放出來了,整體的感覺,這個工具還不是一款成熟的工具,以及不能應用于真正的***,但是依然很震撼,讓我了解到了Android系統(tǒng)有多么的不安全。

      dsploit有很多功能,而我也沒有全部測試,懶。但是有幾個功能依然讓我感到好玩,運行這個軟體需要root權(quán)限,我用flyme系統(tǒng),即使是root權(quán)限偶爾也是不給我好好工作,說明對于深度定制的系統(tǒng),它的支持還是有問題的,我估計最好使用它的系統(tǒng)是原生態(tài)的Android系統(tǒng)。另外它對可***的目標也是有要求的,不是所有的瀏覽器都會正確的達到目的,當然后面我會說明,不過這已經(jīng)很厲害了。不過我想真正的hack目前應該還是不會使用這款工具,因為他們可以把linux下的工具做到里面,而不用使用新的了。

        首先聲明:原諒我使用中文,我使用的軟件本身是英文的,但是目前我在寫博客的時候我無法使用有dsploit的手機,我忘記了它的模塊的英文名字了,就只好用自己翻譯的中文了。

        這個工具的第一個模塊就是“路由***”,我沒有測試,估計是利用一些后門或者其他什么來讓你的路由器down掉,我還不知道原理,不過這個至少我覺得不算困難,在Linux下面,就有工具可以通過握手包來down掉路由器,讓路由器過載等等。“端口掃描”這個模塊也算是好用,我掃描了win系統(tǒng),都是可以正常掃描出來的,因為我沒有開防火墻,也沒有分析數(shù)據(jù)包,暫時不知道通過什么方式來掃描的,不過掃描的速度夠快,恐怕是通過最簡單的應答來掃描的,這樣的掃描是會被防火墻發(fā)現(xiàn)的,但是不管怎么樣,我還是可以通過它來掃描出來我要的端口。掃描完后可以利用弱點搜索,我沒有驗證,其實我在想,它應該是連接到美國的國家漏洞數(shù)據(jù)中心吧,能連過去么,當然如果我真的掃描出來什么系統(tǒng),我可以通過中國的國家漏洞數(shù)據(jù)中心查詢。“登陸破解模塊”是簡單的暴力破解,當然目前還是個玩具,不過作者展示了它的意圖,未來可以變化成真正的暴力破解工具的,但愿你的手機插了移動充電寶,不然會破死你的。“數(shù)據(jù)包偽造”這塊看著高大上,目前我還沒有能力去偽造一個好用的數(shù)據(jù)包,亂造也沒有效果,這個還是待我更多的熟悉網(wǎng)絡后在驗證。

        這個工具其實很多都是概念性的,目前真正實用的是“中間人***”(MITM),中間人***包括了很多模塊,比如sniffer監(jiān)聽并到處文本,賬號密碼掃描,kill掉對方的鏈接,會話劫持,JS注入,圖片注入等等。其中監(jiān)聽模塊是很實用的,只是我不懂手機網(wǎng)卡怎么設置混亂模式,不過監(jiān)聽保存下來的文本可以實用wireshark來進行分析,所有的網(wǎng)絡通信無所遁形,前提你是要會wireshark啊,可以看我關(guān)于wireshark的博文,我會盡量的快的完成它。賬號密碼掃描只能進行簡單的協(xié)議掃描,比如FTP協(xié)議,445額我猜的的,其實所有安全的協(xié)議我覺得它都弄不了,所以各位別太費勁了,那么容易就給你破了,hack還玩啥。kill掉對方的鏈接,這個感覺是個惡作劇,不過我在很多情況下都kill掉我自己的另外一臺測試設備的網(wǎng)絡(我是不會破壞別人的),比如在會話劫持的時候。要么說明這款軟件還是不夠穩(wěn)定,要么就是說明我的系統(tǒng)對它造成了未預料的影響。不過好在大多時候都是沒問題的。會話劫持這個功能是不錯了,小伙子可以偷看美眉的個人空間了,不過也不是對所有的web網(wǎng)站都有效,我嘗試了下,百度是有效的。某寶就會產(chǎn)生亂碼,最后導致掉線。說明某寶的安全度還是不錯的。js注入給我的感覺很不錯,我多數(shù)的時候都成功的讓他顯示在了我測試的另外一個手機上,尤其是UC瀏覽器,其他瀏覽器我沒發(fā)現(xiàn)有效。電腦上面的瀏覽器也不會生效,至今我不懂他是通過什么樣的原理來讓JS腳本運行到Android系統(tǒng)的,不過貌似運行在win下面就是無效的,這就為難了,js在win下面我可以做很多的事,我可以做shell,進而控制服務器。但是在手機下面我能做什么呢?或許JS有控制Android系統(tǒng)的方法,只是我目前還不知道了,現(xiàn)在我只會做惡作劇,包括后面的替換文字和圖片,都是惡搞吧,如果是作為釣魚來使用的話,顯然我會推薦給大家另外一款工具,前提是你和我要。

            不過怎么說這個軟件還是有很多可取的地方,尤其是我看到了潛力,作為一個不想搞壞自己的手機還想做一些安全分析的人來說,或者作為及時工具來說,都是不錯的。而且看到了發(fā)展空間。當然如果你想讓自己變得更加得心應手的話,建議還是買一個Android的平板,老老實實的做一個Linux系統(tǒng)上去,進而你將得到大部分Linux下好用的工具。

向AI問一下細節(jié)
推薦閱讀:
  1. 初識UNIX
  2. puppet 初識

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI